Word dokument mit makros download

Word-makrobibliothek

Die Zloader1-Malware (die mit dem kev-Konfigurations-Tag verbunden ist) verbreitet sich über Malspam unter Verwendung von MIME-gekapselten Anhängen für aggregierte HTML-Dokumente (MHTML)5. Diese MHTML-Dateien enthalten ein Word-Dokument mit VBA-Makros. Der VBA-Makrocode lädt eine passwortgeschützte XLS-Datei herunter und entschlüsselt sie, woraufhin die XLS-Datei entschlüsselt und die darin eingebettete Zloader-Malware ausgeführt wird.
Im Februar 2020 haben Kampagnen, die Zloader verbreiten, die Verwendung von XLM-Makros (auch bekannt als Excel 4.0) verstärkt. Die Erkennung dieses alten, auf Tabellenkalkulationen basierenden und von vornherein selbst modifizierbaren Makro-Code-Formats durch Antiviren-Software ist weitaus geringer als die Erkennung von regulärem sequenziellem, nicht von vornherein selbst modifizierbarem VBA-Makro-Quellcode im Klartext. Wir haben bereits in früheren Berichten auf den Missbrauch von XLM-Makros hingewiesen, z. B. auf XLM-Makros, die zur Verbreitung von QakBot2 oder BazarLoader3 verwendet wurden. Da die Erkennung von XLM-Makro-Code jedoch zugenommen hat und sogar Microsoft XLM-Makro-Unterstützung zu AMSI4 hinzugefügt hat, entwickeln sich die Bedrohungsakteure weiter.
Der Hauptunterschied zwischen der kleineren Januar-Kampagne und dem MHTML-Dokument der späteren Februar-Kampagne besteht in dem Bild, das den Benutzer anweist, “Inhalte zu aktivieren” und “Bearbeitung zu aktivieren”, d. h. die Makroausführung zu aktivieren.

Wie man makros in word aktiviert

Aus Angst vor einer weiteren Krypto-Infektion gehen wir hier proaktiv vor und implementieren ein GPO, um alle Makros in Word-Dateien automatisch zu deaktivieren. Da hier niemand Makros verwendet, sollte dies den Arbeitsablauf nicht beeinträchtigen, bietet uns aber eine weitere Sicherheitsebene gegen Infektionen.
Nachdem Sie das Makro in der Arbeitsmappe erstellt haben, müssen Sie es speichern und schließen, dann wieder öffnen und versuchen, das Makro auszuführen.    Standardmäßig ist das Makro aktiviert, wenn Sie mit der Erstellung des Makros beginnen, weil es weiß, dass Sie es schreiben. Nach dem Speichern und Schließen sollten Sie gefragt werden, ob Sie Makros aktivieren möchten (vorausgesetzt, die Sicherheitseinstellungen Ihres GPO sind standardmäßig aktiviert). solange Sie sie nicht aktivieren, sollte es nicht losgehen.

Word-makros

Word-Makros sind Wunderwerke, mit denen Sie auf Knopfdruck komplexe Vorgänge programmieren können, die auf Ihr Kommando hin gestartet werden. Hier sind ein paar Beispiele für den Anfang. Mit dem einen erstellen Sie Ihren Firmenbriefkopf, mit dem zweiten fügen Sie vorformatierte Tabellen ein, und mit dem dritten definieren und gestalten Sie individuelle Buchformate.  HINWEIS: Sie werden einige Anweisungen mit Tastenkombinationen sehen, die Makroanweisungen für die Neupositionierung Ihres Cursors sind. Achten Sie darauf, sie genau so zu kopieren, wie sie geschrieben sind.  Makros einrichten, definieren und aufzeichnenSchritt 1: Einrichten des MakrosA. Wählen Sie die Registerkarte Ansicht und klicken Sie dann auf Makros > Makro aufzeichnen.B. Geben Sie im Dialogfeld Makro aufzeichnen einen Makronamen und eine Beschreibung ein. Befolgen Sie diese Regeln für den Namen: C. Wählen Sie im Feld Makro speichern in die Option Alle Dokumente, um das Makro in allen Ihren Word-Dokumenten auszuführen, oder wählen Sie das aktuelle Dokument (angezeigt nach Dateiname), um das Makro nur im aktuellen Dokument zu verwenden. Klicken Sie auf OK.D. Als Nächstes klicken Sie im Bereich Makro zuweisen an auf Schaltfläche oder Tastatur (Tastaturkürzel) für die Methode, mit der Sie auf das Makro zugreifen und es ausführen möchten.Hinweis: Die meisten Tastenkombinationen werden bereits vom System verwendet. Auch wenn Sie viele dieser Tastenkombinationen überschreiben können, ist es viel einfacher, Ihr Makro einer Taste zuzuweisen.

Arten von makros in word

Wir haben eine jüngste Welle von Phishing-Mails analysiert, die versuchen, den Emotet-Bankentrojaner über bösartige Word-Dokumente zu verbreiten. In diesem Beitrag finden Sie Einzelheiten zu den Verschleierungsmethoden, die in dem VBA-Makro und dem PowerShell-Skript in den Word-Dokumenten verwendet werden.
Der E-Mail-Text gibt vor, eine wichtige Rechnung zu enthalten, die als Link bereitgestellt wird. Durch Anklicken des Links wird eine .doc Microsoft Word-Datei heruntergeladen. Bei den verlinkten Domains scheint es sich um Websites mit gehackter CMS-Software zu handeln. Das Word-Dokument verwendet einen Standard-Phishing-Trick: Es behauptet, es sei “geschützt” und fordert den Benutzer auf, Makros zu aktivieren, um den Inhalt des Dokuments sehen zu können:
Diese Zeile sucht nach benutzerdefinierten Dokumenteigenschaften, die für das Word-Dokument festgelegt wurden, und gibt diese zurück, basierend auf dem angegebenen Parameter. Wir sehen uns die benutzerdefinierten Dokumenteigenschaften an und stellen fest, dass sie String-Teile für die Zeichenketten “powershell” und “wscript.shell” enthalten:
Es findet eine Vielzahl von String-Verkettungen statt, mit undefinierten Variablen, die alle ignoriert werden können. Die eigentliche Zeichenkette stammt aus dem Kommentarfeld des Dokuments. Ein Blick darauf zeigt eine lange Base64-kodierte Zeichenkette: